Tanmia.ma premier site associatif marocain piraté et infecté

Le site tanmia.ma premier Portail associatif marocain avec plus de 6000 visites par jour et des milliers d’associations interconnectés a été défacé le vendredi 19 février 2010 et sert actuellement de plateforme de distribution et d’infection virale ,l’infection exploite une vulnérabilité dans internet explorer (6,7 ,8 ) qui force le téléchargement d’un trojan qui infecte la machine.

 

Tanmia.ma Deface

Tanmia.ma Deface

L’attaquant a pris le contrôle sur  le site pour créer le fichier h**p://tanmia.ma/forum/conf/morocco.php et injecter un javascript offusqué a sa fin :

 

Aperçu du Script de l'infection Tanmia

Aperçu du Script de l'infection Tanmia

En décodant le fichier on trouve le code suivant

 

Tanmia.ma Script Decoded

Tanmia.ma Script Decoded

Ce script force l’utilisateur qui visite la page à télécharger le fichier  svhost.exe et l’exécuter , installant ainsi un cheval de Troie .

Le site myw4y.com est peut être le site de  l’auteur de l’infection ou un autre site d’attaque par rebond .Dans tous les cas ça fait 3 jours que le script est en exécution je vais essayer de contacter l’administrateur du site tanmia.ma pour que le script soit  supprimé , espérant qu’il essaiera de trouver la faille qui a permis de créer ce fichier et vérifier si des données ont été supprimées ou volées afin d’avertir les utilisateurs du site ….

Tagged : , , , , ,

7 commentaires pour “Tanmia.ma premier site associatif marocain piraté et infecté”

  1. je vois pas l’utiliser de mettre une faille activexDownloader dessus ?
    d’apres ce que je vois ce hacker est un accro aux forums de hacking arabe .
    car c’est les seul qui proposent ce site de cryptage HTML

  2. Kondah Says:
    mars 2, 2010 at 1:22

    Correct =)

  3. si non il n’a pas defacé la page accueil !! et je trouve les trucs qu’l et sur -> hxxp://www.exploit-db.com/author/Mr.aFiR pluto null c un script kidis je croie 😛

  4. Hi freres,
    1. je ne veux pas defacer tanmia depuis l index, I just want to make a notification on zone-h.com
    2. Ils ont le 2007 Kernel
    3. Le serveur est securisé par Firewall qui n’autorise que les HTTP connections
    4. Et pour l’exploit du iE c’est seulemnt pour les visiteurs de zone-h (hackerz) pas pour les visiteurs de tanmia.ma car je n’ai pas toucher l index

    & Merci
    ——————-
    Je suis pas un Kidz, je suis ici pour aider en security
    ——————-

  5. message bien reçu merci .

  6. Lamers 😀

  7. defacer un site d une association!!!!!t trop loin d etre un cyber criminel a 3ammou.
    c est vrai que t es ado mais ca n empeche que tu utilises ton genie dans un autre domaine comme defacer les sites de multi-nationales.ou c est que tu n as pas le *?

Laisser un Commentaire